Tema: Ataque al servidor de mundodvd

Cronología:

El ataque se inició el martes 17 a las 21:23h, momento en el que los intrusos lograron reventar la contraseña de acceso al dominio mundodvd (8 caracteres alfanuméricos por aquel entonces) para inyectar de forma automática un código malicioso en los ficheros js del foro que redirigía los accesos web a diversos dominios extranjeros de alto riesgo.

El miércoles 18 a las 7:30h comprobamos 2 avisos de usuarios del foro, alertando sobre una alarma en sus programas antivirus referente a la conexión con mundodvd, por lo que procedimos a revisar la estructura de la web en busca de códigos maliciosos. El código fuente de la web estaba limpio, pero al realizar algunas búsquedas en profundidad descubrimos que los citados scripts estaban incluidos en los archivos referentes a funciones internas (menús desplegables, acciones ejecutadas por el propio sistema del foro, etc.).

A las 08:30h habíamos detectado el problema y procedimos al cierre de la web, pero los códigos inyectados habían comprometido el funcionamiento interno del panel de administración de vbulletin y nos resultó imposible desactivar el foro hasta las 09:42h, momento en el que localizamos y todos los errores referentes al sistema interno de administración y procedimos a su modificación.

A partir de esa hora nos dedicamos en exclusiva a la detección de los códigos en superficie (en las páginas de inicio accesibles pese a que el foro estuviese cerrado) para evitar que todos los que intentabais conectar al foro tuvieseis problemas con los archivos infectados. Una vez solucionado ese punto, procedimos a revisar toda la estructura de la web, y pese a que es difícil explicar con palabras la magnitud del problema (miles de archivos modificados con diferentes cadenas y dominios), al mediodía podemos decir que el problema había sido resuelto y sólo quedaban algunos flecos ajenos al malware que revisar (incompatibilidades en la mayoría de plugins derivadas de los cambios realizados). Aprovechando el cierre de la web procedimos a la actualización de la versión vbulletin a la última 3.8.x estable para descartar posibles bugs e iniciamos un servicio de monitorización para comprobar que los intrusos no pudiesen acceder de nuevo al servidor.

Esta mañana hemos revisado los intentos abortados de acceso y toda la estructura de la web para garantizar que la entrada al foro vuelve a ser 100% segura, y ahora mismo estáis leyendo estas líneas porque pensamos que lo principal era manteneros informados sobre todo lo acontecido.

En el caso de que accedieseis a mundodvd.com en la noche/madrugada del martes al miércoles os recomendamos realizar un chequeo en profundidad de vuestros ordenadores a través de los programas antivirus que tengáis instalados para descartar posibles problemas. En general, casi todos los navegadores en sus últimas versiones incorporan filtros de seguridad que impiden este tipo de actividades, pero es aconsejable:

1. Actualizar el navegador web que utilicéis.
2. Actualizar todos los programas antivirus que tengáis instalados.
3. Tener el sistema operativo actualizado.
4. Realizar un test de vuestra máquina en profundidad.

Son pasos básicos que todos los usuarios deberíamos dar cada cierto tiempo, pero en casos en los que podríamos haber comprometido la seguridad de nuestros equipos considero necesario llevar a cabo todos los procesos citados.

Posibles herramientas antivirus:

Microsoft Security Essentials: http://www.microsoft.com/security_essentials/
AVG: http://free.avg.com/es-es/inicio (junto a http://linkscanner.avg.com/)
Avast: http://www.avast.com/es-ww/free-antivirus-download

NOD32: http://www.eset.es/productos/eset-nod32-antivirus

Lamentamos todas las molestias que el ataque haya podido ocasionaros y esperamos no tener que sufrir este tipo de ataques en el futuro.

Muchas gracias a todos por vuestro apoyo.

Jopé. ..

Pregunta desde la ignorancia, ¿Hay alguna posibilidad de saber quien ha sido el cabrón?

Iniciado por alvaroooo

Jopé. ..

Pregunta desde la ignorancia, ¿Hay alguna posibilidad de saber quien ha sido el cabrón?

Durante la madrugada del martes al miércoles tenemos accesos no autorizados desde muchas ip's (y países), por lo que es casi imposible detectar a los auténticos culpables (ojalá pudiésemos dar con ellos).

He intentado documentar todo lo acontecido para informaros a vosotros y por si sirve para los administradores de otras páginas, ya que al investigar sobre lo sucedido he visto que en los últimos días los ataques a foros y websites se ha intensificado considerablemente. Espero que puedan dar con algunos de esos sinvergüenzas.

Gracias a todos los que habeis trabajado en arreglar el foro y a todos los que dieron su apoyo

Vaya manera de joder al personal. Gracias por el curro que habéis hecho para que todo funcione bien otra vez.

Ok,entendido

Volvamos a la carga...

Estupendo de que se haya solucionado el problema,gracias a todos los moderadores y staff de este magnifico foro por la pronta rapidez en solucionar el problema y de que muchos podamos seguir disfrutando de tan estupendo sitio de intercambio de opiniones y conocimientos.un saludo

Me alegro que hayáis podido subsanar el problema. Esperemos que podáis coger a los culpables. Muchas gracias por vuestra dedicación y por hacer que esta web sea tan completa e interesante.

Buenas, yo estuve entrando y el antivirus me decía que estaba siendo atacado desde la dirección ip tal y tal

es decir que entonces me puedo ahorrar un análisis del PC no? supuestamente el antivirus me lo detecto en el acto

en fin, me alegro de que lo hayáis solucionado todo, ahora a seguir posteando

Iniciado por swearengen

Realizar un test de vuestra máquina en profundidad.

¿Sería alguien tan amable de decirme cómo se hace esto explicándolo como si fuera para idiotas?

A mi mientras navegaba por el foro el NOD32 me detecto un intento de acceso desde una pagina rusa, no recuerdo el nombre, pero si recuerdo perfectamente que era .ru. El NOD32 me bloqueaba continuamente esa direccion a la que intentaba acceder .

Voy a dejar esta noche el antivirus dando caña, y ya por la mañana le pasare varios programillas mas.

Que cabrones, no os podeis hacer una idea del daño y de las cosas que pueden llegar a hacer...

Saludos

Iniciado por Huw Morgan

¿Sería alguien tan amable de decirme cómo se hace esto explicándolo como si fuera para idiotas?

+1...

Y también sí sirve para Mac.


Thanks!!


PD: Hay varios emoticonos que aún no funcionan; ignoro sí me pasará sólo a mi...

Iniciado por Ribus

Y también sí sirve para Mac.

Me uno a la pregunta de Ribus. Entiendo que los que accedemos al foro a través de otros sistemas operativos (mac, linux, iOS, etc.) no tenemos de qué preocuparnos en este caso concreto, pero me gustaría estar seguro. Más vale prevenir que curar...

Saludos!!!

Iniciado por Huw Morgan

¿Sería alguien tan amable de decirme cómo se hace esto explicándolo como si fuera para idiotas?

Iniciado por Ribus

+1...

Y también sí sirve para Mac.


Thanks!!


PD: Hay varios emoticonos que aún no funcionan; ignoro sí me pasará sólo a mi...

Iniciado por dawson

Gracias por la información. Es bueno que habéis dado detalles de los hechos. Menos mal que el temporal ha amainado
Yo, con el AVG cuando entré la mañana de anteayer me detectó algo, y salí rápido. Eran las 8 y pico. Volví a entrar el mediodía y al parerceer habia una nota diciendo que estaba cerrado Mundodvd y que estaban solucionando este desmadre.

Edito: a mí también me pasa lo de que no se ven algunos emoticonos. Supongo que más adelante se verán. Vamos, digo yo

Iniciado por Sr. Barlow

Me uno a la pregunta de Ribus. Entiendo que los que accedemos al foro a través de otros sistemas operativos (mac, linux, iOS, etc.) no tenemos de qué preocuparnos en este caso concreto, pero me gustaría estar seguro. Más vale prevenir que curar...

Saludos!!!

Tenéis que actualizar al máximo vuestros antivirus y realizar un scan en profundidad de vuestros equipos (habitualmente permiten scan rápido o scan en profundidad). Los que tengáis Mac no habréis sufrido estos problemas.

El problema de los emoticonos está relacionado con todo esto. No es porque estuviesen modificados por los intrusos, pero sí tuvimos problemas con algunas de las rutas que habían sido modificadas. Estamos trabajando en ello y esperamos tener todo 100% operativo a lo largo de la semana que viene

Lo primero muchas gracias por vuestro trabajo.

Como no tengo ni idea de informática, a simple vista lo único que detecto es que no se me ven los logotipos que hay al final de cada página de Meneame, Twitter, etc.

He leído por ahí arriba que si no tienes permiso como administrador lo más probable es que no haya pasado nada ¿es asi? Como es mi caso lo pregunto.

Aquí hay instalado un antivirus general para todo el mundo con un monton de funciones, esperemos que haya parado el golpe. Creo que me conecté el miercoles por la mañana, no me acuerdo si logueado o no.

Por último, no sé si se habrá comentado ya pero creo que este hilo debería estar siempre a la vista, entre otras cosas para que los inútiles como yo sepan que hacer si otra vez vienen mal dadas.

Yo también creo que este post deberia estar colgado con una chincheta arriba para que todos los que lo necesiten lo tengan más a mano. Es una buena sugerencia